Le mystère MiniDuke : code d’exploitation PDF 0jour d’espionnage de gouvernement Assembler 0x29A Micro Backdoor

(ou comment utiliser beaucoup de mots cools dans un titre)

Le 12 février 2013, FireEye a annoncé la découverte d’un code d’exploitation 0jour pour Adobe Reader qui permet d’introduire un programme malveillant complexe inconnu à ce jour. Nous avons baptisé ce nouveau programme malveillant « ItaDuke » car il nous faisait penser à Duqu et le code contenait des commentaires en ancien italien extrait de la Divine comédie de Dante Aligheri.

Depuis l’annonce originale, nous avons observé plusieurs nouvelles attaques qui utilisent le même code d’exploitation (CVE-2013-0640) et qui introduisent un autre programme malveillant. Parmi celles-ci, il y a une paire d’incidents à ce point inhabituels que nous avons décidé de les analyser en détail.

Avec l’aide de notre partenaire CrySys Lab, nous avons mené une analyse détaillée de ces incidents qui semblent indiquer l’apparition d’une nouvelle menace inconnue. L’analyse de CrySyS Lab est disponible [ici]. Notre analyse est présentée ci-après.

Principales conclusions :

• Les auteurs de l’attaque MiniDuke sont toujours actifs en ce moment et le dernier programme malveillant qu’ils ont créé date du 20 février 2013. Pour tromper leurs victimes, ils utilisent des techniques d’ingénierie sociale très efficaces qui consistent à envoyer des documents PDF malveillants à leurs cibles. Ces PDF présentaient un contenu très pertinent et soigneusement rédigé sous la forme d’informations relatives à un séminaire sur les droits de l’homme et la politique étrangère de l’Ukraine et ses intentions de devenir membre de l’OTAN.

Malicious PDF

Ces PDF malveillants contenaient des codes d’exploitation pour Adober Reader 9, 10 et 11 qui étaient en mesure de déjouer le bac à sable de l’application.

• Une fois que le système a été compromis, un programme de téléchargement très petit (20 ko seulement) est installé sur le disque de la victime. Ce programme est unique pour chaque système et il contient une porte dérobée personnalisée écrite dans Assembler. Lorsque le programme de téléchargement est chargé au démarrage du système, il utilise un ensemble de calculs mathématiques pour définir l’identité unique de l’ordinateur et utilise ces données pour chiffrer ses communications ultérieures.

• Si le système cible répond aux conditions prédéfinies, le programme malveillant se connecte à Twitter (à l’insu de l’utilisateur) et commence à rechercher des tweets  spécifiques sur des comptes préexistants. Ces comptes ont été créés par les opérateurs de commande de MiniDuke et ils contiennent des tweets avec des balises spécifiques qui désignent des URL chiffrées pour les portes dérobées.

Ces URL donnent accès aux centres de commande qui envoient les instructions potentielles et qui assurent le transfert crypté de portes dérobées complémentaires sur le système via des fichiers GIF.

• Sur la base de l’analyse, il semblerait que les créateurs de MiniDuke proposent un système de secours dynamique qui est également indétectable. Si Twitter ne fonctionne pas ou si les comptes ne sont pas actifs, le programme malveillant peut utiliser Google Search pour trouver les chaînes cryptées d’accès au centre de commande suivant. Ce modèle est souple et permet aux opérateurs de changer en permanence la manière dont les portes dérobées récupèrent d’autres instructions ou codes malveillants en fonction des besoins.

• Une fois que le système infecté trouve un centre de commande, il reçoit des  portes dérobées obfusquées dans des fichiers GIF et présentées sous la forme d’images sur l’ordinateur de la victime.

Une fois qu’elles ont été installées sur la machine, elles peuvent récupérer une porte dérobée plus importante pour réaliser des opérations de cyber-espionnage grâce à des fonctions comme la copie, le déplacement ou la suppression de fichiers, la création de répertoires, l’arrêt de processus et celle-ci peut également télécharger et exécuter un nouveau programme malveillant et des outils de déplacement latéral.

• La porte dérobée de la dernière étape établit une connexion avec deux serveurs  (un au Panama et l’autre en Turquie) pour recevoir les instructions des auteurs de l’attaque

• les auteurs de l’attaque ont laissé un petit indice dans le code sous la forme du chiffre 666 (0x29A hex) avant un des programmes secondaires de déchiffrement :

• L’analyse des journaux des serveurs de commande a permis de détecter 59 victimes uniques dans 23 pays :

Belgique, Brésil, Bulgarie, République tchèque, Géorgie, Allemagne, Hongrie, Irlande, Israël, Japon, Lettonie, Liban, Lituanie, Monténégro, Portugal, Roumaine, Fédération de Russie, Slovénie, Espagne, Turquie, Ukraine, Royaume-Uni et Etats-Unis.

Pour obtenir l’analyse détaillée et savoir comment se protéger contre ces attaques, lisez :

[Le mystère MiniDuke : code d’exploitation PDF 0jour d’espionage de gouvernement Assembler 0x29A Micro Backdoor.PDF]

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *